Fr, 20. Januar 2023, Lioh Möller

Bei GNOME Kiosk handelt es sich um eine angepasste Desktop-Sitzung, welche beispielsweise zum Aufbau einer Digital Signage Lösung genutzt werden kann.

Zur Vorbereitung sollte zunächst ein dedizierter Benutzer erstellt werden. Dies kann beispielsweise über den Punkt Benutzer / Benutzerkonto hinzufügen innerhalb der GNOME-Einstellungskonsole erfolgen.

Im folgenden Beispiel gehen wir von einem Benutzer mit dem Namen kiosk aus. In den Einstellungen kann darüber hinaus die automatische Anmeldung für diesen Benutzer aktiviert werden.

Darüber hinaus empfiehlt sich die Aktivierung von SSH, um einen späteren Zugriff von einem entfernten Rechner zu ermöglichen.

Daraufhin lassen sich die benötigten Pakete installieren. Auf einem aktuellen Fedora System kann dies wie folgt erledigt werden:

dnf install gnome-kiosk gnome-kiosk-script-session

Nach der Installation der Komponenten und der Anmeldung mit dem kiosk Benutzer an einer regulären GNOME Sitzung, findet man in der Programmübersicht einen Punkt zur Kiosk-Konfiguration.

Sobald dieser geöffnet wird, startet lediglich ein Texteditor mit der vorausgewählten Datei ~/.local/bin/gnome-kiosk-script

Diese kann nach Belieben bearbeitet werden und wird automatisch in der Kiosk-Sitzung gestartet.

Als Beispiel kann eine Slideshow im Vollbildmodus mithilfe des Bildbetrachters eog abgespielt werden. Dazu sollten zunächst einige Bilddateien im Ordner Pictures im Homeverzeichnis des kiosk Benutzers abgelegt werden.

Daraufhin kann der Inhalt der Kiosk-Konfigurationsdatei wie folgt angepasst werden:

#!/bin/sh

if [ ! "$(pidof eog)" ]
then
   flatpak run org.gnome.eog -s /home/kiosk/Pictures
fi

sleep 1.0
exec "$0" "$@"

Ist dies erfolgt, kann man sich von der regulären GNOME-Sitzung abmelden und am Anmeldedialog für den kiosk  Benutzer die Kiosk Script Session (Wayland oder Xorg) auswählen.

Nach der Anmeldung wird automatisch eog im Vollbildmodus gestartet und die Bilder in einer Slideshow abgespielt. Das Script kann natürlich bei Bedarf angepasst werden.

Die zuletzt gewählte Sitzung wird von GDM standardmässig nach einem Neustart gestartet und kann bei Bedarf in der Datei /var/lib/AccountsService/users/kiosk angepasst werden.

Quelle: https://fedoramagazine.org/build-a-kiosk-with-fedora-silverblue/

Servo ist eine experimentelle Browser-Engine, welche ursprünglich von Mozilla entwickelt worden ist und der Ursprung von verschiedenen Innovationen war, die letztlich in der Gecko-Engine von Firefox gelandet sind. Nachdem es lange Zeit still um Servo war, wurde nun bekannt gegeben, dass die Entwicklung der Servo-Engine wieder hochgefahren wird.

Im Jahr 2012 hatte Mozilla Research die Entwicklung der experimentellen Browser-Engine Servo gestartet, welche in Rust entwickelt wird – einer modernen Programmiersprache, die ebenfalls ihre Anfänge bei Mozilla hat und laut jährlicher Umfrage auf der populären Entwickler-Plattform Stack Overflow im Jahr 2022 auf Grund ihrer Vorteile mittlerweile zum siebten Mal in Folge als die beliebteste Programmiersprache gewählt worden ist. Technologische Innovationen wie Quantum CSS und WebRender, die heute Teil der Gecko-Engine von Firefox sind, haben ihren Ursprung in Servo.

Im November 2020 und damit kurz nach Mozillas Ankündigung, über 250 Mitarbeiter nicht zuletzt in Folge der COVID-19-Pandemie zu entlassen, was auch die von Mozilla bezahlten Entwickler der Servo-Engine einschloss, wurde das Servo-Projekt an die Linux Foundation übergeben. Seit dem war es sehr ruhig um das Servo-Projekt. Zwar war auf GitHub konstant Aktivität zu beobachten, aber wo das Projekt steht, war für einen Außenstehenden nicht wirklich ersichtlich. Auf dem offiziellen Blog wurde seit dem nicht ein einziger Artikel mehr veröffentlicht.

Dies hat sich nun geändert. Wie das Servo-Projekt mitgeteilt hat, konnte dank externer Finanzierung ein Team zusammengestellt werden, welches nun wieder aktiv an der Servo-Engine arbeitet.

Der Fokus für das Jahr 2023 wird auf der Verbesserung der Situation des Layout-Systems liegen, mit dem anfänglichen Ziel, das grundsätzliche CSS2-Layout zum Laufen zu bekommen. In Zukunft möchte das Team auch wieder mehr Status-Updates im offiziellen Blog geben.

Der Beitrag Neue Ressourcen für Browser-Engine Servo erschien zuerst auf soeren-hentzschel.at.

Das planmäßige Update auf Thunderbird 102.7.0 erscheint etwas später. Dafür wird in Kürze Thunderbird 102.7.1 veröffentlicht werden. Nutzer von Microsoft 365 Enterprise müssen unter Umständen aktiv werden.

Update auf Thunderbird 102.7.0 verschoben

Normalerweise hätte gestern das Update auf Thunderbird 102.7.0 veröffentlicht werden sollen. Auf Grund eines Fehlers in Zusammenhang mit der OAuth-Authentifizierung, welcher im Beta-Test nicht rechtzeitig gefunden worden war, wurde die Veröffentlichung des Updates auf Thunderbird 102.7.0 verschoben. Lediglich Nutzer von Ubuntu haben unter Umständen bereits ein Update via Snap erhalten. Dafür wird im Laufe der nächsten Tage Thunderbird 102.7.1 veröffentlicht worden.

Über die Website lässt sich mittlerweile die Vollversion von Thunderbird 102.7.0 herunterladen (Release Notes, engl.). Nutzern von Microsoft 365 Enterprise wird aber ausdrücklich davon abgeraten, ehe nicht Thunderbird 102.7.1 veröffentlicht worden ist.

Wichtiger Hinweis für Nutzer von Microsoft 365 Enterprise

Um Anforderungen seitens Microsoft gerecht zu werden, musste das Thunderbird-Projekt eine Änderung vornehmen, welche Nutzer eines Mail-Kontos bei Microsoft betrifft. Entsprechende Nutzer müssen sich nach dem Update auf Thunderbird 102.7.0 respektive 102.7.1 erneut via OAuth2 für den Zugriff auf ihr E-Mail-Konto authentifizieren.

Dies kann eine besondere Komplikation für Nutzer im Unternehmens- oder Bildungsumfeld darstellen, welche unter Umständen eine Meldung erhalten, dass der Administrator den Zugriff genehmigen muss.

In dem Fall muss der Administrator tätig werden und die Anwendung mit der Client-ID 9e5f94bc-e8a4-4e73-b8be-63364c29d753 genehmigen.

Der Beitrag Thunderbird 102.7.0 erscheint später, wichtiger Hinweis für Nutzer von Microsoft 365 Enterprise erschien zuerst auf soeren-hentzschel.at.

Was ist apt-key?

Die Man Pages beschreiben apt-key wie folgt:

apt-key is used to manage the list of keys used by apt to authenticate packages. Packages which have been authenticated using these keys will be considered trusted.

apt-key wird verwendet, um die Liste der Schlüssel zu verwalten, die von apt zur Authentifizierung von Paketen verwendet werden. Pakete, die mit diesen Schlüsseln authentifiziert wurden, werden als vertrauenswürdig eingestuft.

Der Vollständigkeit halber hier der Punkt zur "deprecated" Meldung:

update (deprecated)
Update the local keyring with the archive keyring and remove from the local keyring the archive keys which are no longer valid. The archive keyring is shipped in the archive-keyring package of your distribution, e.g. the ubuntu-keyring package in Ubuntu.

Note that a distribution does not need to and in fact should not use this command any longer and instead ship keyring files in the /etc/apt/trusted.gpg.d/ directory directly as this avoids a dependency on gnupg and it is easier to manage keys by simply adding and removing files for maintainers and users alike.

Was bedeutet apt-key is deprecated?

In der Fehlermeldung "apt-key is deprecated. Manage keyring files in trusted.gpg.d" sind zwei Meldungen versteckt:

Bisher wurden Schlüssel in trusted.gpg verwaltet. In Zukunft sollten die Schlüssel einzeln unter trusted.gpg.d verwaltet werden. Der Grund für das Abschaffen des alten Vorgangs ist die schlicht die Sicherheit.

Zusätzlich wird apt-key als veraltet eingestuft. Da es sich hier nur um eine Warnung handelt, kann diese bis jetzt auch einfach ignoriert werden. Im Prinzip möchte sie den Nutzer weg von apt-key hin zu gpg schubsen und genau das möchte ich hier zeigen.

Bei einem apt update wirft ein Ubuntu beispielsweise folgenden Warnungen in Bezug auf nodejs und yarn Repositorys

reading package lists... Done
W: https://deb.nodesource.com/node_16.x/dists/jammy/InRelease: Key is stored in legacy trusted.gpg keyring (/etc/apt/trusted.gpg), see the DEPRECATION section in apt-key(8) for details.
W: https://dl.yarnpkg.com/debian/dists/stable/InRelease: Key is stored in legacy trusted.gpg keyring (/etc/apt/trusted.gpg), see the DEPRECATION section in apt-key(8) for details.

Lösung -  Schlüssel aus trusted.gpg in trusted.gpg.d umziehen

Die Lösung für die oben aufgeführte Problematik ist das bereits erwähnte Umschichten von trusted.gpg zu trusted.gpg.d.

Zunächst werden die betreffenden Schlüssel aufgelistet:

sudo apt-key list
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).
/etc/apt/trusted.gpg
--------------------
pub   rsa4096 2014-06-13 [SC]
      9FD3 B784 BC1C 6FC3 1A8A  0A1C 1655 A0AB 6857 6280
uid           [ unknown] NodeSource <gpg@nodesource.com>
sub   rsa4096 2014-06-13 [E]

pub   rsa4096 2016-10-05 [SC]
      72EC F46A 56B4 AD39 C907  BBB7 1646 B01B 86E5 0310
uid           [ unknown] Yarn Packaging <yarn@dan.cx>
sub   rsa4096 2016-10-05 [E]
sub   rsa4096 2019-01-02 [S] [expires: 2023-01-24]
sub   rsa4096 2019-01-11 [S] [expires: 2023-01-24]

Schlüssel in eine eigene Datei verschieben

Danach die letzten 8 Zeichen der zweiten Zeile unter pub kopieren. In diesem Fall ist das 6857 6280. Das Leerzeichen zwischen den Zahlen muss entfernt werden.
Der zukünftige Name kann beliebig gewählt werden, es liegt allerdings nahe, ihn nach dem installierten Paket bzw. Repository zu benennen:

sudo apt-key export 68576280 | sudo gpg --dearmour -o /etc/apt/trusted.gpg.d/nodejs-key.gpg
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).

sudo apt-key export 86E50310 | sudo gpg --dearmour -o /etc/apt/trusted.gpg.d/yarn-key.gpg
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).

sudo apt-get update

Nun sollten die Warnungen der Vergangenheit angehören.

Neue Schlüssel hinzufügen

Sollte ein neuer Schlüssel hinzugefügt werden, wird in Zukunft nicht mehr mit apt-key gearbeitet, sondern gpg verwendet werden.

Früher

curl -sS https://download.spotify.com/debian/pubkey_5E3C45D7B312C643.gpg | sudo apt-key add -

Heute

curl -sS https://download.spotify.com/debian/pubkey_5E3C45D7B312C643.gpg | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/spotify.gpg

 

Morgens halb zehn in Deutschland. Na ja eigentlich war es heute kurz nach 6 Uhr. Ich wollte noch kurz Dateien verschicken bevor ich zur Arbeit fahre. Was aber nicht funktioniert hat. Kein Gerät in meinem privaten Netzwerk konnte eine Internetverbindung aufbauen.

Wenn der Tag schon so beginnt, kann es nur besser werden. Oder noch viel schlechter. Die Lösung des Problems war dann aber doch relativ einfach. Aber erst einmal muss ich etwas ausholen.

Auf einem Raspberry Pi ist, unter anderem, eine Kombination von Pi-Hole und unbound installiert. Im Router ist Pi-Hole als DNS eingetragen. Alle im Netzwerk vorhandenen Geräte sind so konfiguriert, dass der Router der einzige DNS ist.

Gestern Nacht hat nun ein Mobiltelefon versucht den F-Droid-Client über das Netzwerk zu aktualisieren. Was aber die ganze Nacht nicht funktioniert hat. Warum kann ich nicht sagen. Da hierbei so hartnäckig vorgegangen wurde, wurden im gesamten Netzwerk durchgehend mehr als 1000 Anfragen pro Minute an Pi-hole gestellt. Und das mag Pi-hole nicht. In der Standardkonfiguration ist Pi-hole so konfiguriert, dass ein Client für einen bestimmten Zeitraum geblockt wird, wenn dieser mehr als 1000 Anfragen pro Minute stellt. Stellt der betreffende Client danach weiterhin zu viele Anfragen, wird er wieder für einen bestimmten Zeitraum geblockt. Und so weiter.

Da nun alle DNS-Anfragen über den Router laufen, ist das für Pi-hole der einzige Client. Und schon ist alles lahmgelegt. DoS sozusagen.

Seit Jahren hat das Limit kein Problem gemacht. Daher gehe ich hier von einem Einzelfall aus. Da allerdings der Raspberry Pi nicht einmal ins Schwitzen gekommen ist, habe ich das Rate-Limit testweise komplett deaktiviert.

In der Datei /etc/pihole/pihole-FTL.conf habe ich die Zeile RATE_LIMIT=1000/60 auf RATE_LIMIT=0/0 geändert. Stattdessen kann man natürlich das Limit auch entsprechend erhöhen. Was in dem Fall aber nicht viel gebracht hätte.

Laut https://github.com/pi-hole/FTL/pull/1052 bin ich wohl nicht der Erste, bei dem das Limit überschritten wurde. Ich kann allerdings die Entwickler von Pi-hole durchaus verstehen, warum sie sich für das Limit entschieden haben.

Ich entschuldige mich direkt für den reißerischen Titel. Ich persönlich glaube nicht, dass sich in dieser Hinsicht 2023 viel verändern wird.

Ich möchte an dieser Stelle lediglich darauf hinweisen, dass ihr meinen aktuellen GnuPG-Public-Key an dieser Stelle zum Download und per Web Key Directory findet.

Mozilla hat Firefox 109 für Windows, Apple macOS und Linux veröffentlicht. Dieser Artikel fasst die wichtigsten Neuerungen zusammen – wie immer auf diesem Blog weit ausführlicher als auf anderen Websites.

Download Mozilla Firefox für Microsoft Windows, Apple macOS und Linux

Firefox 109 unterstützt neuen Erweiterungs-Standard Manifest v3

Firefox 109 ist die erste Firefox-Version, welche das sogenannte Manifest v3 und damit die neueste Erweiterungs-Generation unterstützt. Zwar wird Firefox noch eine ganze Weile Manifest v2-Erweiterungen unterstützen, Entwickler können ihre Erweiterungen aber bereits jetzt umstellen und damit eine langfristige Kompatibilität gewährleisten. Einen entsprechenden Migrations-Guide stellt Mozilla für Entwickler bereit.

In eigener Sache: Manifest v3-Erweiterungen

Mit dem Bookmarks Organizer 4.0 habe ich vor wenigen Tagen meine erste Erweiterung auf das Manifest v3 umgestellt. Updates mit Manifest v3-Kompatibilität für meine anderen Erweiterungen Keep or Delete Bookmarks, New Tab Override sowie SubToMe werden im Laufe der kommenden Wochen erscheinen. Für meine Erweiterung Enterprise Policy Generator wird erst im Sommer nach Veröffentlichung von Firefox ESR 115 ein entsprechendes Updates erscheinen. Hier ist zuvor noch ein letztes und umfangreiches Update geplant, welches noch mit Firefox ESR 102 kompatibel sein wird.

Neues Erweiterungs-Menü

In Zusammenhang mit dem Manifest v3 steht auch die Einführung des neuen Erweiterungsmenüs in Firefox 109. Dieses befindet sich neben der Schaltfläche des Hauptmenüs und ist die neue standardmäßige Heimat für alle installierten Erweiterungen. Auf Wunsch kann der Nutzer aber auch wie gehabt Erweiterungen an die Symbolleiste anheften und dort frei verschieben.

Neben einem zentralen Ort für installierte Erweiterungen bietet dieses Menü vor allem auch eine Möglichkeit, Host-Berechtigungen für Manifest v3-Erweiterungen zu verwalten – diese sind im Gegensatz zu Manifest v2-Erweiterungen nämlich jetzt grundsätzlich optional und können zu jeder Zeit vom Benutzer entzogen und wieder neu erteilt werden.

Im Übrigen sind bereits weitere Verbesserungen des neuen Erweiterungs-Menüs geplant. So soll es in Zukunft unter anderem auch möglich sein, die Reihenfolge der Erweiterungen anzupassen.

Seiten aus Firefox View entfernen

Standardmäßig erscheint seit Firefox 106 links vom ersten Tab eine Schaltfläche, über welche Firefox View erreicht werden kann. Firefox View zeigt sowohl die letzten drei synchronisierten Tabs von anderen Geräten als auch die 25 zuletzt geschlossenen Tabs an, um diese wiederherzustellen. Firefox 109 ergänzt die Option, Seiten auf Wunsch aus dieser Liste zu entfernen.

Planmäßiges Ende der Farbwelten

Die sogenannten „Farbwelten“ sind planmäßig aus der Add-ons-Verwaltung, Firefox View sowie der Einführungstour für neue Nutzer verschwunden. Dabei handelt es sich tatsächlich aber um keine Änderung von Firefox 109. Die Farbwelten hatten von Anfang an den 16. Januar 2023 als Ablaufdatum und erscheinen auch in älteren Firefox-Versionen nicht mehr. Wer ein Firefox-Design aus dieser zeitlich limitierten Sammlung aktiviert hatte, kann dieses aber weiterhin nutzen.

Verbesserungen der Webplattform

Firefox 109 unterstützt als erster Browser das neue scrollend-Event, welches ausgelöst wird, wenn ein Scroll-Vorgang beendet wird. Auch das Debugger-Werkzeug von Firefox wurde um die Möglichkeit erweitert, die Code-Ausführung bei Eintreten dieses Events pausieren zu können.

Das Kalender-Feld des nativen HTML-Element für Datumsfelder kann für eine verbesserte Zugänglichkeit jetzt mit der Tastatur bedient werden. Das HTML-Element range wurde um Unterstützung für das list-Attribut erweitert.

In CSS werden jetzt auch die Systemfarben Mark, MarkText sowie ButtonBorder unterstützt.

Behoben wurde ein defektes Screensharing via WebRTC mit dem VP9-Codec.

Weitere Neuerungen für Entwickler lassen sich in den MDN Web Docs nachlesen.

Mehr Sicherheit für Firefox-Nutzer

Auch in Firefox 109 wurden wieder mehrere Sicherheitslücken geschlossen. Alleine aus Gründen der Sicherheit ist ein Update auf Firefox 109 daher für alle Nutzer dringend empfohlen.

Für Nutzer von Windows 10 und höher wurde außerdem der Exploit-Schutz Arbitrary Code Guard in den Prozessen zur Medienwiedergabe aktiviert.

Sonstige Neuerungen von Firefox 109

Firefox erscheint jetzt auch unter macOS als Option im „Öffnen mit“-Kontextmenü von PDF-Dateien.

Beim Import von Lesezeichen aus Google Chrome wurden keine Lesezeichen aus dem Ordner „Andere Lesezeichen“ importiert. Außerdem weist Firefox nicht länger darauf hin, dass Chrome während des Imports geschlossen sein muss.

Auf macOS wird bei gleichzeitigem Drücken der Control- oder Command-Taste und Scrollen mit dem Trackpad oder Mausrad jetzt die Website gescrollt statt diese größer oder kleiner zu zoomen. Das neue Verhalten entspricht dem Verhalten von Safari und Chrome und soll versehentliches Zoomen verhindern. Wem das alte Verhalten mehr zusagt, kann dieses über about:config wiederherstellen, indem die beiden Optionen mousewheel.with_control.action sowie mousewheel.with_meta.action prefs auf 3 gesetzt werden.

Zum Leeren des Browser-Caches beim Beenden von Firefox auf Windows wird nun ein separater Prozess gestartet, um Hänger beim Beenden zu vermeiden.

Die Priorität des Grafikkarten-Prozesses unter Windows wurde erhöht. Eine verbesserte Parallelisierung sollte außerdem in leichten Verbesserungen der Ladegeschwindigkeit von Websites resultieren.

In den Entwickler-Werkzeugen wurde ein Speicherleak in Zusammenhang mit sogenannten Sourcemaps auf Websites behoben, welcher auf manchen Websites einen RAM-Anstieg im zweistelligen MB-Bereich bei jedem Neuladen mit geöffneten Entwicklerwerkzeugen verursachen konnte.

Nach Windows und macOS zeigt Firefox jetzt auch unter Linux auf der Seite about:support an, welche Codecs Hardware-beschleunigt wiedergegeben werden können.

Spanische Sprachausgaben (für Spanien sowie Argentinien) von Firefox werden ab sofort standardmäßig mit einem Wörterbuch für die Rechtschreibprüfung ausgeliefert.

Nutzer der Erweiterung Firefox Translations müssen sicherstellen, dass sie die aktuelle Version Firefox Translations 1.2.0 nutzen, da ältere Versionen von Firefox Translations nicht mit Firefox 109 und höher kompatibel sind.

Der Beitrag Mozilla veröffentlicht Firefox 109 – unterstützt Manifest v3-Erweiterungen erschien zuerst auf soeren-hentzschel.at.

Di, 17. Januar 2023, Murgo

Der Open Android Installer zielt darauf ab, ein grafisches Installationsprogramm für verschiedene Custom ROMs zur Verfügung zu stellen und somit die Einstiegshürde zum Flashen alternativer Android-Firmware noch niedriger zu halten. Das Programm befindet sich aktuell in der Alpha-Phase. Wer es bereits ausprobieren möchte, kann es von der Website herunterladen.

Der Open Android Installer ist vergleichbar mit dem Easy Installer für /e/ oder dem UBports Installer für Ubuntu Touch, unterstützt allerdings eine größere Bandbreite an Geräten und zukünftig wohl sogar gleich mehrere freie Android-ROMs. Aktuell werden bereits 41 Geräte unterstützt, wie der Liste zu entnehmen ist. Installieren kann man mit dem Open Android Installer aktuell LineageOS. Der Website bzw. dem Git-Repository ist nicht ganz zu entnehmen, ob die Unterstützung folgender Custom ROMs bereits vorhanden ist oder erst noch kommen soll:

• /e/OS
• Lineage for microG
• BlissRoms
• PixelExperience (mit vorinstallierten GApps)

Da das Projekt allerdings noch sehr jung ist, befindet sich die Unterstützung dieser Geräte vermutlich eher in der Planung als dass sie bereits vorhanden wäre, aber vielleicht wisst Ihr ja mehr. Ich finde das Projekt jedenfalls sehr interessant und bin gespannt, was daraus werden wird.

Quellen:
https://openandroidinstaller.org/
https://prototypefund.de/project/open-android-installer/

Dies ist ein Update des Artikels aus dem letzten Jahr.

Smartphone

Mein Sony Xperia XZ2 Compact musste aufgrund mehrerer Macken ersetzt werden. Mein neuer Begleiter ist nun ein Samsung Galaxy S22. Zwar habe ich mir auch ein Fairphone angesehen, doch ist mir dieses einfach viel zu groß. Nutzungsänderungen ergaben sich lediglich bei den Messenger-Diensten und den sozialen Netzwerken:

• Für Chat und Kurznachrichten mit Matrix über Element (dienstlich)/neu: FluffyChat (privat), SMS und Threema (bevorzugt).
• Nutzung diverser sozialer Netzwerkwerke wie Facebook, LinkedIn, Mastodon, Twitter und XING; meine Accounts in den gestrichenen Netzwerken habe ich gelöscht.

Tablet

Hier hat sich gegenüber dem Vorjahr nichts verändert.

Laptop

Hier gab es lediglich ein Upgrade auf Fedora 37 und Rambox ist hamsket gewichen.

Desktop-/Server-PC

Auch hier gibt es keine Änderungen gegenüber dem Vorjahr.

Sonstige Geräte im Netzwerk

Unverwüstlich verrichtet mein Brother DCP-540CN weiterhin zuverlässig seinen Dienst. Meine FHEM-Installation hingegen habe ich eingestampft und meinen Pi-Hole auf den Raspberry Pi 1 Rev. B migriert. Damit habe ich wieder einen Pi für neue Basteleien frei.

Zusammenfassung

Viel hat sich hier nicht verändert und ich bin mit dem aktuellen Setup zufrieden. Ob es im Jahr 2023 etwas mehr Veränderungen geben wird, wird sich zeigen.

Mi, 11. Januar 2023, Lioh Möller

Wer ein UEFI System mit Secure Boot nutzt und die passenden Kernelmodule für VMware Workstation/Player oder Virtualbox selbst compiliert, muss diese signieren, damit sie erfolgreich geladen werden können. Dabei ist insbesondere VMware dafür bekannt, aktuelle Kernelversionen nicht zeitnah zu unterstützen, wobei der Entwickler Michal Kubeček Patches bereitstellt.

Nach einer erfolgreichen Übersetzung der Module muss zunächst einmalig ein Schlüsselpaar erstellt werden:

openssl req -new -x509 -newkey rsa:2048 -keyout MOK.priv -outform DER -out MOK.der -nodes -days 36500 -subj "/CN=VMware/"

Der CN (Common Name), kann bei der Verwendung von VirtualBox angepasst werden, zum Beispiel auf VirtualBox oder den Benutzernamen (Beispiel: "/CN=Maria Mustermann/")

Daraufhin können die Kernelmodule signiert werden. Bei VMware erfolgt dies mithilfe der folgenden Befehle:

sudo /lib/modules/`uname -r`/build/scripts/sign-file sha256 ./MOK.priv ./MOK.der $(modinfo -n vmmon)
sudo /lib/modules/`uname -r`/build/scripts/sign-file sha256 ./MOK.priv ./MOK.der $(modinfo -n vmnet)

Sollte VirtualBox bis zur Version 6.1.40 bzw. 7.0 zum Einsatz kommen, würde der Befehl wie folgt aussehen:

sudo /lib/modules/`uname -r`/build/scripts/sign-file sha256 ./MOK.priv ./MOK.der $(modinfo -n vboxdrv)

Bei aktuellen VirtualBox Versionen werden die Module automatisch signiert, wenn der Schlüssel im Verzeichnis /var/lib/shim-signed/mok liegt.

sudo mkdir -p /var/lib/shim-signed/mok
sudo mv MOK.* /var/lib/shim-signed/mok

UEFI enrollment

Mithilfe von der Applikation mokutil lässt sich der öffentliche Schlüssel zum UEFI BIOS hinzufügen. Installieren lässt sich die Anwendung unter Debian GNU/Linux mithilfe des folgenden Befehls:

sudo apt install mokutil

Der eigentliche Import kann daraufhin wie folgt durchgeführt werden:

mokutil --import MOK.der

Nach einem Neustart des Systems muss der Schlüssel über den integrierten UEFI enrollment Prozess importiert werden.

Dabei muss das zuvor vergebene Schlüsselpasswort eingegeben werden. Da das US-Keyboard Layout zum Einsatz kommt, sollte man ein entsprechend zu merkendes Passwort wählen.

Nach diesen Vorbereitungsarbeiten, muss in Zukunft nach jedem neuen Übersetzen der Kernelmodule ein signieren eben dieser erfolgen. Dies lässt sich auch mithilfe eines Scriptes vereinfachen.

VMware

#!/bin/sh
# filename: signModules.sh
# cd to where you store the MOK.priv MOK.der certs
# run this as root e.g. sudo sh ./signModules.sh
for i in vmmon vmnet
do
    echo Signing $i
    sudo /lib/modules/`uname -r`/build/scripts/sign-file sha256 ./MOK.priv ./MOK.der $(modinfo -n $i)
done

VirtualBox < Version 6.1.40 bzw. < 7.0 (Bei aktuellen VirtualBox Versionen ist dieser Schritt nicht notwendig)

#!/bin/sh
# filename: signModules.sh
# cd to where you store the MOK.priv MOK.der certs
# run this as root e.g. sudo sh ./signModules.sh
for i in vboxdrv
do
    echo Signing $i
    sudo /lib/modules/`uname -r`/build/scripts/sign-file sha256 ./MOK.priv ./MOK.der $(modinfo -n $i)
done

Quellen: https://kb.vmware.com/s/article/2146460, https://toggen.com.au/it-tips/vmware-workstation-pro-on-secure-boot-ubuntu/

Danke an Norman und Thorsten für die wertvollen Hinweise in den Kommentaren.

Mi, 11. Januar 2023, Lioh Möller

Mit der als Unified Kernel Image (UKI) bezeichneten Initiative möchte Lennart Poettering die Linux Welt ein wenig sicherer machen. Üblicherweise kommt zum Start des Betriebssystems eine sogenannte Initial Ramdisk (initrd) zum Einsatz. Diese enthält neben Treibern beispielsweise auch sicherheitsrelevante Informationen zum Entsperren eines verschlüsselten Dateisystems. Der Linux Kernel würde sich grundsätzlich allerdings auch ohne initrd monolithisch nutzen lassen, wie es bei der Slackware Distribution bei einer Nutzung des sogenannten huge Kernels der Fall ist. Ein weiterer Vorteil einer initrd ist, dass der Kernel selbst vergleichbar klein gehalten werden kann und die initrd wiederum nur Treiber enthält, welche auf dem System tatsächlich benötigt werden. Dazu kommen Hilfsprogramme wie mkinitrd oder erweiterte Lösungen wie dracut zum Einsatz.

Neben der Ramdisk können auf klassischen Systemen Bootparameter an die Kernel cmdline übergeben werden. Den aktuellen Stand kann man sich mit cat /proc/cmdline ausgeben lassen. Die Konfiguration erfolgt je nach Bootloader unterschiedlich, wird allerdings oftmals als append line bezeichnet.

Mit UKI würde all dies der Vergangenheit angehören. Das Konzept sieht die Auslieferung einer einzelnen UEFI PE Binaries vor, welche den Kernel, eine statische initrd, einen EFI Boot Stub sowie Bootparameter enthalten würde. Dieses Abbild liesse sich direkt aus der UEFI Firmware heraus oder von einem Bootloader starten.

Auf diese Weise lässt sich anhand der Signatur die Echtheit aller Komponenten sicherstellen, was bei der Nutzung einer klassischen initrd nicht der Fall ist, da diese unsigniert ist. In einem Blogpost hat Lennart bereits begonnen, seine Vorstellungen ausführlich zu beschreiben.

Das Fedora Projekt entscheidet jeweils demokratisch über die Aufnahme neuer Funktionen und so wurde bestimmt, die erste Phase der UKI Unterstützung bereits in die kommende Version 38 zu integrieren. Dabei soll zunächst ein optional verfügbares sub-RPM zum Einsatz kommen, welches interessierte Anwender bei Bedarf einsetzen können.

Damit einher geht die Anpassung der Installationsscripte für den Kernel sowie eine Unterstützung von UKI Abbildern durch den Bootloader. In diesem Zusammenhang soll das Installationsprogramm erweitert werden, um systemd-boot als alternativen Bootloader zu unterstützen. Niedrige Priorität, aber dennoch angedacht, ist die Verwendung von UKI in den Fedora Cloud Abbildern.

Weniger spektakulär, aber dennoch interessant ist die geplante Integration der Xfce Desktopoberfläche in Version 4.18, über dessen Neuerungen wir bereits im Detail berichtet haben.

Mit dem Bookmarks Organizer 4.0 steht nach mehr als vier Jahren ein neues Update für die Firefox-Erweiterung bereit, welche beim Aufräumen der Lesezeichen hilft.

Download Bookmarks Organizer 4.0 für Mozilla Firefox

Der Bookmarks Organizer soll dabei helfen, wieder Ordnung in die Lesezeichen zu bringen, indem nicht mehr funktionierende sowie doppelte Lesezeichen gefunden und Weiterleitungen korrigiert werden.

Manifest v3, kompatibel mit Firefox 109 und höher

Die wichtigste Neuerung betrifft den Bookmarks Organizer unter der Haube. Die Erweiterung nutzt nun das sogenannte Manifest v3, die neueste Version des Erweiterungs-Standards. Entsprechende Anpassungen wurden vorgenommen, damit der Bookmarks Organizer langfristig mit Firefox kompatibel bleibt.

Eine Konsequenz daraus ist, dass Firefox 109 oder höher benötigt wird, um die neueste Version des Bookmarks Organizers installieren zu können. Firefox 109 erscheint kommende Woche. Nutzer von Firefox ESR müssen sich noch bis Juli und Firefox ESR 115 gedulden, können aber so lange weiterhin die vorherige Version 3.1 nutzen.

Wichtige Berechtigung ab sofort optional

Firefox-Erweiterungen müssen zur Ausführung bestimmter Aufgaben Berechtigungen anfragen. Dies geschieht häufig bereits bei der Installation der Erweiterung. Auch der Bookmarks Organizer benötigt Berechtigungen. Auf Mozillas Erweiterungs-Seite erkläre ich transparent, wofür welche Berechtigung benötigt wird.

So benötigt der Bookmarks Organizer die Berechtigung „Auf Ihre Daten für alle Websites zugreifen“. Was im ersten Moment besorgniserregend klingen mag, ist tatsächlich eine zwingend erforderliche Berechtigung, um im Namen der Erweiterung eine Anfrage an Websites senden zu dürfen – und genau das müssen Erweiterungen machen, welche prüfen wollen, ob ein Lesezeichen denn noch funktioniert.

Diese Art Berechtigung ist mit dem Manifest v3 allerdings grundsätzlich optional und standardmäßig deaktiviert. Damit es keine Probleme mit der fehlenden Berechtigung gibt, fragt der Bookmarks Organizer vor der Prüfung auf defekte Lesezeichen die Berechtigung an, falls diese noch nicht erteilt worden ist. Ohne die Berechtigung kann diese Überprüfung gar nicht erst gestartet werden.

Daraus ergibt sich ein weiterer Vorteil: Zur Installation der Erweiterung wird diese Berechtigung nicht länger benötigt – und auch nicht zur Ausführung der anderen Suchmodi. Wer also nur nach Duplikaten, Lesezeichen ohne Namen oder was auch immer sonst suchen möchte, was zukünftige Versionen des Bookmarks Organizers unterstützen werden, muss nicht länger diese mächtige Berechtigung dafür erteilen.

Der Bookmarks Organizer reagiert übrigens in Echtzeit auf Änderungen der Berechtigung über die Add-ons-Verwaltung. Wird dort die Berechtigung wieder entzogen oder neu gegeben, erkennt die bereits geöffnete Oberfläche des Bookmarks Organizers das, ohne neu geladen werden zu müssen.

Relevante Verbesserungen und Bugfixes

Die Lade-Animation bei Aufruf der Oberfläche erscheint jetzt nur noch, wenn der Bookmarks Organizer länger als 500ms für vorbereitende Berechnungen wie die Zählung der Lesezeichen benötigt.

Die Schaltfläche zum Ausführen einer Überprüfung ist ab sofort deaktiviert, wenn es keine Lesezeichen gibt. Dabei reagiert der Bookmarks Organizer in Echtzeit auf neu hinzugefügte oder entfernte Lesezeichen, während der Bookmarks Organizer geöffnet ist.

Es wurden aber auch Fehler behoben. So wurde der Zähler der Lesezeichen nur um eins reduziert, wenn ein Ordner mit mehreren Lesezeichen gelöscht worden ist. Und wenn ein Lesezeichen hinzugefügt worden ist, während eine Überprüfung auf defekte Lesezeichen bereits in Gang war, konnte die bereits aktive Überprüfung bisher nicht erfolgreich abgeschlossen werden. Auch das gehört der Vergangenheit an.

Vier neue Übersetzungen, jetzt in insgesamt 18 Sprachen

Bookmarks Organizer kommt mit vier zusätzlichen Übersetzungen und steht damit nun schon in insgesamt 18 Sprachen zur Verfügung. Mit diesem Update neu sind Italienisch, Türkisch, Japanisch sowie Brasilianisches Portugiesisch. Außerdem gab es Aktualisierungen bestehender Übersetzungen.

Sonstige Neuerungen

Auch darüber hinaus gab es noch einige Verbesserungen, welche in die Kategorie Details oder unter der Haube fallen. Beispielsweise wurde Code für die Unterstützung von Firefox 60 und niedriger entfernt, veraltete Funktionsaufrufe ersetzt und der Code-Stil an einigen Stellen verbessert und Rechtschreibfehler in Code-Kommentaren entfernt.

Der Mechanismus zur Übersetzung der Erweiterung wurde auf die neueste von mir entwickelte Version aktualisiert, so dass dies nun gleich wie in anderen von mir entwickelten Erweiterungen funktioniert, was die Wartbarkeit erleichtert.

Von der internen Liste von Domains, die bei der Prüfung auf defekte Lesezeichen grundsätzlich übersprungen werden, wurden input.mozilla.org sowie testpilot.firefox.com entfernt, weil diese Domains nicht länger Teil der internen Firefox-Option extensions.webextensions.restrictedDomains sind, welche Domains beinhalten, auf denen Firefox-Erweiterungen nicht funktionieren.

Außerdem wurde die native Outline von Eingabefeldern deaktiviert, da der Bookmarks Organizer seinen eigenen Fokusstil implementiert hat.

Gefällt? Unterstützung gerne gesehen!

Wer die Entwicklung des Add-ons unterstützen möchte, kann dies tun, indem er der Welt von Bookmarks Organizer erzählt und die Erweiterung auf addons.mozilla.org bewertet. Auch würde ich mich sehr über eine kleine Spende freuen, welche es mir ermöglicht, weitere Zeit in die Entwicklung dieses und weiterer Add-ons zu investieren.

Der Beitrag Firefox-Erweiterung Bookmarks Organizer 4.0 veröffentlicht erschien zuerst auf soeren-hentzschel.at.

Di, 10. Januar 2023, Lioh Möller

Bei Anwendern der Slackware Distribution ist die Erweiterung des Paketmanagers slackpkg namens slackpkg+ sehr beliebt, da mit dieser auf einfache Weise 3rd-Party-Repositories eingebunden werden können. Die Einrichtung wird auch im LinuxKurs detailiert beschrieben.

Leider stand die Webseite des Projektes bereits des Öfteren nicht zur Verfügung, was bei einer Aktualisierung der Paketlisten zu folgender Fehlermeldung geführt hat:

failed: Connection timed out.

Der Slackware-Entwickler alienBOB hat sich aufgrund dessen bereit erklärt, einen Mirror der Erweiterung zu betreiben. Zur Nutzung muss lediglich die MIRRORPLUS Angabe für slackpkgplus angepasst werden:

MIRRORPLUS['slackpkgplus']=https://slackware.nl/slackpkgplus15/

Matteo Rossini (zerouno), der slackpkg+ entwickelt hat, betrieb darüber hinaus eine Online Paketsuche namens slackfinder.

Nach einer eingängigen Recherchearbeit ist es alienBOB gelungen, auch diese zu replizieren:

https://slackware.nl/slakfinder/

Wie ihm das gelungen ist, beschreibt er ausführlich in einem Blogpost.

Mo, 9. Januar 2023, Lioh Möller

Bei OpenMandriva Lx handelt es sich um eine unabhängige Distribution, dessen Wurzeln in Mandriva Linux zu finden sind. Dabei nutzt das Projekt bereits seit 2015 den LLVM Compiler, statt des sonst oft zum Einsatz kommenden GCC.

In der Vergangenheit veröffentlichte das Team in unregelmässigen Abständen stabile Versionen der Distribution, welche mittlerweile den bezeichnenden Namen Rock tragen. Diese erhalten während der Laufzeit lediglich Sicherheitsaktualisierung und kleinere Verbesserungen. Die eigentliche Entwicklung findet in einem Zweig mit der Bezeichnung cooker statt.

Mit Rome steht nun eine Alternative auf Rolling-Release Basis zur Verfügung. Die vorliegende Version 23.01 enthält unter anderem KDE Frameworks 5.101, Plasma Desktop 5.26.4 und KDE Applications 22.12.0. Zur Übersetzung des Quelltextes wurde der clang Compiler in Version 15.06 verwendet. Der Kernel ist in Version 6.1.1 enthalten und wird zusätzlich in einer Variante angeboten, welche mit GCC übersetzt wurde. Diese lässt sich im Willkommensdialog, welcher nach der Anmeldung automatisch geöffnet wird, auswählen.

Darüber hinaus werden unter anderem folgende Applikationen ausgeliefert: LibreOffice 7.5.0.0 beta1, Krita 5.1.4, Digikam 7.9, SMPlayer 22.7.0, VLC 3.0.18, Falkon 22.12 und Chromium 108.0. Über die Repositories lassen sich Firefox 108.0, Thunderbird 102.6 Virtualbox 7.0.4, OBS Studio 28.1.2, GIMP 2.10.32 und die Calligra Office-Suite 3.2.1 installieren.

Ausführliche Informationen finden sich in den Veröffentlichungshinweisen.

Alternativ zur KDE Plasma Version, stellt die Community eine GNOME-Variante zur Verfügung.

Quelle: https://www.openmandriva.org/en/news/article/openmandriva-rome-the-rolling-release
Download (ROME): https://www.openmandriva.org/info-rome

Hallo liebe Leserinnen und Leser,

in diesem Beitrag möchte ich um eure Meinungen und Gedanken zur Distribution IPFire 2.x und einer dafür erhältlichen Hardware-Appliance bitten.

IST-Zustand

Es existiert ein einfaches Heimnetzwerk, welches über eine Vodafone ConnectBox mit dem Internet verbunden ist. Die Firewall der ConnectBox ist aktiviert und es sind aktuell keinerlei eingehende Verbindungen zugelassen.

Im LAN existieren eine Vielzahl unterschiedlicher Geräte, wie z.B. Access-Points, Pi-Hole, PCs, Laptops, PV-Anlage, Netzwerkdrucker, etc. pp.

SOLL-Zustand

Das bestehende Heimnetzwerk soll in verschiedene Netzwerkzonen unterteilt werden können, welche durch eine Firewall voneinander getrennt sind. Es soll eine Möglichkeit zur VPN-Einwahl geschaffen werden, um von außerhalb des Netzwerks auf Dienste im Heimnetzwerk zugreifen zu können. Der vorhandene Kabelrouter soll nicht ersetzt werden.

Bei der Internet-Recherche bin ich auf IPFire gestoßen, für welche ich als ehemaliger IPCop-Nutzer eine gewisse Sympathie hege. Zudem habe ich mit der IPFire Mini Appliance (EU) ein Gerät im Blick, welches am Aufstellungsort eine gute Figur machen sollte. Mir ist dabei wichtig, dass das Gerät möglichst sparsam bei der Energieaufnahme ist und passiv gekühlt wird, damit im Betrieb keine Geräusche verursacht werden.

Ich möchte die IPFire als Paketfilter, OpenVPN-Gateway und ggf. IPS nutzen.

Ihr seid gefragt

Bevor ich nun ca. 450 Euro investiere, möchte ich die Chance nutzen und nach euren Erfahrungen mit IPFire und den verfügbaren Appliances fragen.

Habt ihr IPFire genutzt oder nutzt sie noch? Seid ihr damit zufrieden, oder würdet ihr zu einer Alternative raten? Wenn Alternative, welche und warum?

Worauf betreibt ihr IPFire? Auf einer Appliance wie der oben verlinkten, einem Raspberry Pi, in einer VM oder auf etwas ganz anderem? Lasst es mich gerne wissen, warum ihr euch für welche Lösung entschieden habt.

Falls ihr jetzt die Hände über dem Kopf zusammenschlagt und ruft: „Nein alles, nur das nicht!“ Dann bin ich natürlich umso mehr an eurer Erfahrung interessiert.

Bitte nutzt die Kommentare oder schreibt mir an „ipfire (aett) my-it-brain (Punkt) de“, wenn ihr eure Gedanken mit mir teilen möchtet.

Quellen und weiterführende Links

• Wikipedia-Artikel zu IPFire: https://de.wikipedia.org/wiki/IPFire
• Projekt-Webseite: https://www.ipfire.org/
• IPFire Mini Appliance im IPFire-Wiki: https://wiki.ipfire.org/hardware/lightningwirelabs/mini
• IPFire Mini Appliance im Online-Shop: https://store.lightningwirelabs.com/products/IPFIRE-MINI-EU-R1

Mit Thunderbird 115 wird die MZLA Technologies Corporation seinem kostenfreien E-Mail-Client einen frischen Anstrich in Form des sogenannten Supernova-Designs verpassen. Wer sich für die Fortschritte interessiert, kann diese in speziellen Entwickler-Builds beobachten.

Bereits im November habe ich über das geplante Supernova-Design von Thunderbird 115 berichtet. Zur Erinnerung: Aussehen soll Thunderbird dann in etwa, wie das folgende Mockup zeigt.

Genau wie von Firefox gibt es auch von Thunderbird sowohl Beta- als auch täglich erscheinende Alpha-Versionen, dort im Gegensatz zu Firefox nicht Nightly, sondern Daily genannt.

Wer nun aber in den sogenannten Daily Builds Fortschritte bei der Implementierung des neuen Designs sucht, wird keine finden, obwohl völlig zu recht zu erwarten wäre, dass die Arbeiten daran längst begonnen haben, wenn Thunderbird schon in wenigen Monaten so anders aussehen soll.

Der Grund dafür ist einfach: Die Entwicklung findet in einem separaten Entwicklungszweig statt. Um die Fortschritte sehen zu können, muss man sich dementsprechend spezielle Builds aus eben diesem Entwicklungszweig herunterladen.

• Auf treeherder.mozilla.org/jobs?repo=ash lassen sich die immer neuesten Builds finden.
• Hier muss die zum verwendeten Betriebssystem passende Plattform gesucht werden, das sind „Windows 2012 x64 opt“ für Windows, „OS X Cross Compiled opt“ für macOS oder „Linux x64 opt“ für Linux.
• Bei der passenden Plattform ist der Buchstabe „B“ auszuwählen.
• Dann gibt es unten einen Reiter „Artifacts and Debugging Tools“.
• Hier findet sich der entsprechende Build dann unter dem Namen „target.installer.exe“ für Windows, „target.dmg“ für macOS oder „target.tar.bz2“ für Linux.
• Dieser Thunderbird-Build kann dann ganz normal installiert werden und beinhaltet die Änderungen dieses speziellen Entwicklerzweigs.

Achtung: Es versteht sich von selbst, dass diese Builds nicht produktiv eingesetzt werden sollten. Es gibt auch keine Update-Funktion. Neuere Builds müssen also immer händisch über die alte installiert werden.

So sieht beispielsweise ein Build vom 3. Januar 2023 auf macOS mit aktiviertem Drei-Spalten-Layout aus:

Wie man sieht, sind hier schon erste Ansätze auf dem Weg zum neuen Design zu erkennen, gleichzeitig aber auch, dass noch einiges an Arbeit bevorsteht. Was der Screenshot nicht zeigt: Auch unter der Haube gibt es hier schon ein paar signifikante Änderungen, welche in Thunderbird Daily noch nicht aktiviert sind. Da es sich um ein großes Projekt zu einem frühen Zeitpunkt handelt und sich alles noch in sehr aktiver Entwicklung befindet, funktioniert in diesen Builds auch noch nicht alles, was in den regulären Builds funktioniert. Diese Builds sollten von Nicht-Entwicklern also wirklich als das betrachtet werden, was sie sind: Eine Möglichkeit, die Fortschritte zu verfolgen. Nicht weniger, aber auch nicht mehr.

Der Beitrag Thunderbird: Fortschritte am Supernova-Design verfolgen erschien zuerst auf soeren-hentzschel.at.

Mozilla hat mit Firefox 108.0.2 ein Update außer der Reihe für seinen Desktop-Browser veröffentlicht und behebt damit mehrere Probleme der Vorgängerversion.

Download Mozilla Firefox 108.0.2

Mit dem Update auf Firefox 108.0.2 behebt Mozilla eine mögliche Absturzursache, welche während der Wiedergabe von H.264-Videos für Nutzer der veralteten Betriebssysteme macOS 10.12 bis 10.14 auftreten konnte.

Behoben wurde außerdem eine mögliche Absturzursache beim Auswählen von Einträgen in der Bibliothek sowie eine weitere mögliche Absturzursache.

Unter macOS befindet sich der Menüpunkt „Tabs mit Zugriff auf Gerät“ beim Teilen des Bildschirminhalts via WebRTC jetzt im Extras- statt im Fenster-Menü, um Probleme mit dem Fenster-Menü wie das Fehlen der Liste offener Fenster bei Benutzung dieser Funktion zu vermeiden.

Außerdem wurde ein mögliches Performance-Problem behoben.

Der Beitrag Mozilla veröffentlicht Firefox 108.0.2 erschien zuerst auf soeren-hentzschel.at.

Letzte Woche hat mich ein Bekannter um Hilfe gebeten. Er hat Daten auf seinen neuen USB-Stick verschoben, was ohne Fehlermeldung funktioniert hat. Allerdings waren einige Daten danach nicht auf dem Stick vorhanden. Backups sei Dank hat er das mehrmals mit dem gleichen Ergebnis probiert.

Noch bevor ich mir den Stick überhaupt angesehen habe, habe ich schon vermutet, dass er sich einen gefälschten USB-Stick angeschafft hat, bei dem mehr vorhandener Speicherplatz angezeigt wird als tatsächlich vorhanden ist.

Um meine Vermutung belegen zu können, habe ich mir das Tool F3 (https://github.com/AltraMayor/f3) installiert und den Stick mittels f3probe –destructive –time-ops /dev/sdX getestet. Und siehe da, der Stick hat tatsächlich deutlich weniger Speicherplatz als angegeben. Es handelt sich daher klar um eine Fälschung.

Von daher, testet neu gekaufte USB-Sticks unbedingt bevor ihr sie das erste mal nutzt. Denn auch ein Kauf bei einem bekannten Händler ist nicht unbedingt eine Garantie, dass es sich wirklich um ein Original handelt.

Neben f3probe besteht F3 noch aus weiteren Befehlen.

Mit f3write werden mehrere 1 GB große Dateien auf den USB-Stick geschrieben bis kein Speicherplatz mehr vorhanden ist. Mit f3read werden diese anschließend gelesen. Neben dem Test, ob der Stick tatsächlich über den angegebenen Speicherplatz verfügt, wird hierbei somit noch die Lese- und Schreibgeschwindigkeit getestet. Dies dauert allerdings deutlich länger als f3probe.

Hat man einen gefälschten USB-Stick und kann oder will man diesen nicht beim Händler reklamieren, kann man den Befehl f3fix nutzen. Damit lässt sich eine Partition erstellen, die dem tatsächlich vorhanden Speicherplatz entspricht. Somit ist eine Nutzung zumindest halbwegs sicher möglich.

Wer lieber eine grafische Oberfläche will, kann noch zusätzlich https://github.com/zwpwjwtz/f3-qt installieren.

In diesem Artikel führe ich auf, was ich 2022 für bzw. mit FLOSS getan habe. FLOSS steht dabei für Free/Libre Open Source Software. Es geht dabei nicht um weltbewegende Projekte oder große Beiträge. Es ist mehr eine Sammlung von Kleinigkeiten. Dennoch möchte ich diese öffentlich machen, um zu zeigen, was man mit FLOSS tun und wie man sich beteiligen kann.

Ansible-Rolle zum Deployment von Nextcloud und MariaDB in einem Podman Pod

Dieses kleine Projekt ist etwas verrückt und für den Einsatz in Produktion vermutlich nicht geeignet. Doch konnte ich mich gleich mit zwei Themen intensiv beschäftigen, die mich interessieren, Ansible und Podman. Mein Ziel war es, die Anwendungen Nextcloud und MariaDB zur Bereitstellung einer privaten Cloud in einem rootless Podman Pod zu provisionieren. Die ganze Geschichte kann in der kleinen Serie Nextcloud im Container nachgelesen werden.

Die Quellen der Ansible-Rolle gibt es auf:

• Github: https://github.com/Tronde/ansible_role_deploy_nextcloud_with_mariadb_pod
• Galaxy: https://galaxy.ansible.com/Tronde/deploy_nextcloud_with_mariadb_pod

RHEL-Patchmanagement

Seit 2016 entwickle und pflege ich ein Patch-Management für Red Hat Enterprise Linux Systeme. Dieses Jahr habe ich Release 3.3.0 und 3.3.1 veröffentlicht.

Mit diesem Projekt habe ich ein Patch-Management gebaut, welches sehr gut die Anforderungen meines Arbeitgebers abdeckt und sich ohne Zusatz-Subskriptionen wie das Smart-Management-Addon für RHEL-Subskriptionen realisieren lässt. Seit 2018 läuft es vollautomatisch und stellt sicher, dass verfügbare Sicherheits-Updates mindestens einmal pro Monat installiert werden.

Es erfreut sich auch außerhalb unserer Organisation einiger Beliebtheit:

• Github: https://github.com/Tronde/ansible-role-rhel-patchmanagement/
• Galaxy: https://galaxy.ansible.com/Tronde/ansible_role_rhel_patchmanagement

Drei Ansible-Rollen dank Open Source

Häufig haben Unternehmen/Organisationen sehr individuelle Anforderungen, für die keine fertigen Lösungen von der Stange existieren. Open Source schafft die Möglichkeit, sich selbst helfen zu können. So habe ich ohne großen Aufwand Ansible-Rollen geschrieben, um Proxy-Einstellungen für den subscription-manager und YUM bzw. DNF zu konfigurieren sowie um Red Hat Enterprise Linux registrieren und den System Purpose konfigurieren zu können.

Quellen:

• Github: https://github.com/Tronde/set_proxy4yum_dnf
• Galaxy: https://galaxy.ansible.com/Tronde/set_proxy4yum_dnf
• Github: https://github.com/Tronde/set_proxy4rhsm
• Galaxy: https://galaxy.ansible.com/Tronde/set_proxy4rhsm
• Github: https://github.com/Tronde/register_syspurpose
• Galaxy: https://galaxy.ansible.com/Tronde/register_syspurpose

Meine erste Linux System Role

Die Linux System Roles sind eine Sammlung von Ansible-Rollen zur Konfiguration diverser Betriebssystem-Komponenten von Linux. Ziel der Sammlung ist es, Ansible-Rollen zur einfachen Nutzung durch Systemadministratoren bereitzustellen.

Ich habe viel über den Entwicklungsprozess von Ansible-Rollen gelernt, bis meine erste Rolle pam_pwd aufgenommen wurde. Mit dieser Rolle kann PAM konfiguriert werden, um eine Passwort-Richtlinie zu etablieren.

Sie befindet sich noch in einem sehr frühen Stadium. Nutzt sie auf eigene Gefahr. Der Lerneffekt für mich war jedoch sehr groß, so dass sich die Arbeit in meinen Augen gelohnt hat.

Quelle:

• Github: https://github.com/linux-system-roles/pam_pwd

Mit Ansible Labor-Umgebungen in KVM und vSphere provisionieren

Ich benötige immer mal wieder Labor-Umgebungen mit frischen Betriebssystem-Installationen für verschiedene Versuche und Tests. Um die Provisionierung dieser Laborumgebung zu vereinfachen und zu beschleunigen, habe ich zwei Ansible-Rollen erstellt, mit denen sich diese Labor-Umgebungen auf KVM- und vSphere-Hypervisoren provisionieren lassen:

• Labor-Umgebung mit Ansible in KVM erstellen
• Labor-Umgebungen auf VMware vSphere erstellen mit der Ansible-Rolle vsphere_provision_lab

Blogs, Issue-Reports Pull-Requests

Man kann FLOSS auch dadurch unterstützen, indem man darüber spricht bzw. schreibt. Letzteres tue ich in diesem Blog. Der My-IT-Brain Jahresrückblick 2022 gibt einen Überblick darüber.

Hinzu kommen kleine Beiträge in Form von Issue-Reports und Pull-Requests. Details kann man meiner Contribution Activity auf Github entnehmen.

Spenden

Viele FLOSS-Projekte werden ohne funktionierendes Geschäftsmodell von Menschen in deren Freizeit entwickelt und gewartet. Diese Projekte sind auf Spenden angewiesen.

Ich setze mir jedes Jahr ein persönliches Budget, aus dem ich an die Projekte spende, deren Anwendungen ich häufig benutze oder die mir besonders sympathisch sind. Das ist nicht immer ganz einfach. Ich persönlich bevorzuge eine Banküberweisung oder eine Einmalzahlung per Kreditkarte. Mich erst bei einem Zahlungsdienstleister anzumelden stellt für mich meist eine zu hohe Hürde dar.

Fazit

Es muss nicht das eine große Projekt sein. Auch mit der Summe kleiner Teile kann man eine Menge erreichen.

FLOSS hat mir geholfen, viele meiner Anforderungen zu erfüllen. Für mich ist es selbstverständlich, die Ergebnisse dieser Arbeit ebenfalls wieder unter einer freien Lizenz zu veröffentlichen, um auf diesem Weg etwas an die FLOSS-Gemeinschaft zurückzugeben. Doch denkt immer daran: „Nutzung auf eigene Gefahr.“

Der Microsoft Internet Explorer spielt heute keine Rolle mehr – sollte man meinen. Auf Grund von fehlerhaft implementiertem User-Agent-Sniffing auf zu vielen Websites, welche Firefox 110 und höher als Internet Explorer 11 erkennen, sah sich Mozilla gezwungen, den User-Agent von Firefox zu ändern.

Mit jedem Besuch sendet der Browser einen sogenannten User-Agent an die jeweilige Website. Dieser beinhaltet vor allem eine Information darüber, welches Betriebssystem und welcher Browser genutzt wird. Es ist allerschlechteste Praxis einer Website, den User-Agent auszulesen, um Entscheidungen über Funktionalität oder implementierte Code-Pfade zu treffen – und doch machen genau das sehr viele Websites.

Um das Risiko dafür zu minimieren, aber auch aus Privatsphäre-Gründen, um den digitalen Fingerabdruck zu reduzieren, wurde der User-Agent im Laufe der Zeit immer weiter reduziert oder bestimmte Daten auf einen festen Wert eingefroren, was den User-Agent heute bewusst weniger nützlich macht als noch vor vielen Jahren. Andererseits muss jede Änderung mit sehr großer Vorsicht durchgeführt werden, weil die kleinste Änderung auf Grund des zuvor beschriebenen User-Agent-Sniffings wieder neue Kompatibilitätsprobleme auf Websites verursachen kann.

Ein Beispiel für fehlerhaft implementiertes User-Agent-Sniffing ist die Erkennung des Internet Explorers in Version 11. Dessen User-Agent sieht wie folgt aus:

Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; AS; rv:11.0) like Gecko

Einige Websites prüfen stumpf auf das Vorkommen von rv:11 im User-Agent, um daraus zu folgern, dass der Internet Explorer 11 genutzt wird. Das Problem? So hätte der User-Agent von Firefox 110 ausgesehen:

Mozilla/5.0 (Windows NT 6.1; WOW64; rv:110.0) Gecko/20100101 Firefox/110.0

Websites, welche lediglich eine primitive Prüfung wie die eben genannte durchführen, würden damit Firefox 110 als Internet Explorer 11 identifizieren – mit teils schwerwiegenden Folgen, weil diese Websites unter Umständen plötzlich völlig falsche Code-Pfade nutzen und daher nicht mehr korrekt funktionieren.

Aus diesem Grund hat Mozilla einen weiteren Teil des User-Agents von Firefox eingefroren, wie schon das Mozilla/5.0 zu Beginn oder die Version der Browser-Engine Gecko/20100101, zumindest temporär.

Beginnend mit Firefox 110 wird der Teil nach rv: auch in neueren Versionen die Versionsnummer 109 anzeigen, während die hintere Versionsnummer weiterhin korrekterweise die jeweils aktuelle Firefox-Version anzeigen wird. Daraus ergibt sich für Firefox 110 der folgende User-Agent:

Mozilla/5.0 (Windows NT 6.1; WOW64; rv:109.0) Gecko/20100101 Firefox/110.0

Da dieses Problem naturgemäß wieder verschwinden wird, sobald Firefox die Versionsnummer 120 erreicht, wird Mozilla diese Anpassung des User-Agents mit Firefox 120 allerdings wieder entfernen. Firefox 120 wird nach aktueller Planung am 21. November 2023 erscheinen.

Der Beitrag Wegen des Internet Explorers 11: Mozilla ändert User-Agent von Firefox erschien zuerst auf soeren-hentzschel.at.

Viele der Technologien, die wir heutzutage einsetzen, haben eine lange Geschichte hinter sich. Moderne Ansätze, sie nachzurüsten, können in bestimmten Szenarien jedoch unangenehme Auswirkungen haben. Ein kleines Beispiel möchte ich euch heute vorstellen.

Craig Younkins hat in seinem Blog auf Medium ein kurzes Szenario beschrieben, das verschlüsseltes DNS (DoH/DoT) und NTP involviert. Normalerweise gibt es bei so einem Setup wenig Probleme: der Client synchronisiert seine Zeit über NTP, kann Abweichungen ausgleichen und seine DNS-Anfragen über TLS-verschlüsselte Verbindungen abwickeln. Dabei hat der Client jederzeit seine vertrauenswürdigen Zertifikate lokal gespeichert, ebenso die Standardserver für NTP, die üblicherweise durch einen Hostname nach dem Muster *.pool.ntp.org adressiert werden.

Das Problem

Der Fallstrick: vergisst der Client die Zeit komplett, kann er in einem Deadlock landen und gegebenenfalls die Zeit nicht mehr synchronisieren. So ein Szenario kann auftreten, wenn ein System ausgeschaltet wurde und keine Real-Time-Clock in der Hardware verbaut wurde, die über eine eigene Batterieversorgung (i. d. R. Knopfzelle) verfügt. Bei einigen günstigen Routern bzw. IoT-Geräten wie dem Raspberry Pi ist das der Fall.

Findet das System keinen Anhaltspunkt über die aktuelle Zeit, so startet es, je nach Implementierung, meist beim Unix-Timestamp 1 bzw. am 01.01.1970. Dies kann jedoch in Verbindung mit TLS eine gefährliche Wirkung entfalten, da für die Zertifikatsvalidierung auf das aktuelle Datum zurückgegriffen wird – schließlich verfügen die meisten Zertifikate über einen festen Gültigkeitszeitraum, der nur wenige Monate umfasst.

Das Ergebnis: alle mit TLS abgewickelten DNS-Anfragen über die NTP-Server schlagen fehl. Dabei ist hervorzuheben, dass NTP selber unverschlüsselt weiterhin abläuft, es können lediglich die IP-Adressen der Server nicht ermittelt werden.

Lösungen

Damit soetwas nicht passiert, können Administratoren auf verschiedene Art und Weise vorbeugen. Eine erste Möglichkeit wäre, wie im Artikel beschrieben, das Hinterlegen von IP-Adressen im NTP-Client. Damit umgeht man DoH/DoT und kann direkt mit der NTP-Synchronisation fortfahren. Nachteil dieser Variante ist jedoch, dass es einerseits nur wenige NTP-Server mit wirklich statischen Adressen gibt (einer der wenigen Anbieter ist z. B. die NIST) und andererseits NTP generell eher auf Hostnames arbeitet, um z. B. einen Lastausgleich sicherzustellen.

Die zweite Variante wäre der Einsatz spezieller DHCP-Optionen wie Option 42, mit der beim Bezug der Netzwerkkonfiguration auch durch den DHCP-Server bestimmte IPv4-Adressen empfohlen werden können. In der Regel handelt es sich um lokale IPv4-Adressen, wenn lokal ein eigener NTP-Server betrieben wird, der seine Zeit mit höherrangigen Servern wiederum synchronisiert. DHCPv6 verfügt mit Option 56 über ein Äquivalent. (Q, RFC 2132 sec. 8.3., RFC 5908)

Es gibt allerdings auch spannendere Methoden: so ist der Ansatz von tlsdate, die Zeit über den TLS-Handshake von Internetdiensten wie Google oder Wikipedia zu extrahieren. Darüber hinaus wird momentan bei der IETF die Entwicklung von roughtime vorangetrieben, das hierfür ein eigenes kryptographisches Protokoll einsetzt. (Q, draft-ietf-ntp-roughtime-07, Artikel von Cloudflare)

Wer ein Dateisystem wie ext4 nutzt, findet darüber hinaus im Superblock aus dem vergangenen Mount hilfreiche Zeitangaben. Diese mount time und write time werden nämlich in der Regel bei jedem Mount und Schreibvorgang gesetzt und können als Anhaltspunkt für die Systemzeit des vergangenen Starts dienen - genug, um bei regelmäßig verwendeten Systemen immerhin die DoH-Anfrage für die initiale NTP-Namensauflösung abzuwickeln. (Q)

Fazit

Verschiedene komplexe Komponenten wie DoH/DoT und NTP können bei bestimmten Randbedingungen zu Situationen führen, die man bei der Erstkonfiguration vermutlich nicht vor Augen hatte. Wer jedoch mit dafür anfälligen Systemen ohne Real-Time-Clock arbeitet, kann auf verschiedene Strategien zur Abhilfe setzen: einerseits können Anhaltspunkte für die Zeit aus dem vergangenen Start gesucht werden oder zunehmend Protokolle genutzt werden, die genau dieses Problem adressieren.

Wenn alles normal läuft, dann läuft alles normal. Aber was ist schon normal. Für die außergewöhnlichen Momente, wie z.B. eine große Last auf dem Server, gibt es schöne Parameter, die man System Daemons mitgeben kann. Eines davon ist CPUQuota=XYZ%

 

Unter Debian werden die Systemdienste, die mit systemctl start/stop/reload/daemon-reload usw gesteuert werden unter /etc/systemd/system/ als Dateien gespeichert. Diese sehen dann z.B. so aus (zur Unbrauchbarkeit veränderter ttrss Service)

 

[Unit]
Description=ttrss_backend
After=network.target mysql.service postgresql.service

[Service]
User=www-dieter
ExecStart=/PFADERSATZ/update_daemon2.php --tasks 3 --intervall 10800 --quiet
StandardOutput=null
CPUQuota=20%

[Install]
WantedBy=multi-user.target

 

Dieser Dienst mit systemctl start ttrss.service gestartete Dienst, startet einen Daemon, der alle 10800 Sekunden neue Daten aus dem Netz zieht.

 

Betrachtung bei einer CPU

Damit der Server sich nicht selbst überlastet, bekommt der Dienst (Service) eine CPU Quota mit (CPUQuota), der dafür sorgt, dass die CPU relativ, also in in Abhängigkeit der gerade stattfindenden CPU Nutzung, nicht mehr als 20% der CPU genutzt werden.

In der Realität sieht das mit CPUQuota=20% so aus:

CPU wird gerade zu 0% genutzt = ttrss bekommt 20% der CPU
CPU wird gerade zu 90% genutzt = ttrss bekommt 10% der CPU
CPU wird gerade zu 70% genutzt = ttrss bekommt 20% der CPU
CPU wird gerade zu 85% genutzt = ttrss bekommt 15% der CPU

 

Multi CPU System

Sind mehr CPUs in einem System gilt für jede CPU 100%. Das bedeutet

1 CPU = 100% verfügbar
2 CPUs = 200%
3 CPUs = 300%

 

Setzt mal also bei 3 CPUs CPUQuota=144% bekommt der Dienst auch 144% der CPUs (falls verfügbar). Wenn weniger CPU Power zur Verfügung steht, dann natürlich auch weniger.

Ich bin mir nicht sicher, aber es sieht bei einer oberflächlichen Betrachtung aus, als würden mehrere Threads eines solchen Services auch auf mehrere CPUs verteilt werden, aber dennoch mit dem Limit 20% über alle CPUs. Was ja auch eine schöne Sache ist.

 

Wird CPUQuota=0 gesetzt, wird diese Funktion deaktiviert.

Auszug aus der Definition
zu finden mit dem Konsolenbefehl man systemd.resource-control

Assign the specified CPU time quota to the processes executed. Takes a percentage value, suffixed with “%". The percentage specifies how much CPU time the unit shall get at maximum, relative to the total CPU time available on one CPU. Use values > 100% for allotting CPU time on more than one CPU. This controls the “cpu.max” attribute on the unified control group hierarchy and “cpu.cfs_quota_us” on legacy. For details about these control group attributes, see Control Groups v2[2] and CFS Bandwidth Control[4]. Setting CPUQuota= to an empty value unsets the quota.

Example: CPUQuota=20% ensures that the executed processes will never get more than 20% CPU time on one CPU.

 

 

Fr, 30. Dezember 2022, Fabian Schaar

Zum Ende des Jahres hat das Siduction-Projekt eine neue Version der gemeinschaftlich entwickelten Distribution veröffentlicht. Durch die Bindung an den rollenden „unstable“-Zweig von Debian GNU/Linux handelt es sich dabei um ein fortlaufend aktualisiertes Betriebssystem. Entgegen anderer rollender Distributionen setzt Siduction stark auf die eigene Gemeinschaft und versucht dabei, nicht in elitäre Verhaltensmuster zu verfallen.

Ein rollendes Debian mit langer Geschichte

Siduction hat eine lange Tradition: Ursprünglich von der einst Knoppix-basierten Distribution Kanotix abstammend, spaltete sich eine Gruppe von Entwicklern nach einem dortigen Kurswechsel von der zuvor rollenden Distro ab und kochte fortan mit „Sidux“ ein eigenes Süppchen.

Durch anhaltende Probleme mit dem beigeordneten Sidux e.V. wurde die Distribution einige Jahre später in „Aptosid“ umbenannt. Im Jahre 2011 folgte daraufhin ein weiterer Fork und Siduction entstand als Community-fokussiertes Sid-Derivat.

Heute weist Siduction eine treue Nutzergemeinschaft auf, auch wenn es nicht unbedingt in den Linux-Mainstream gezählt werden kann. Das mag vielleicht auch daran liegen, dass sich die Distribution nicht wirklich an blutige Anfänger, sondern eher an ambitionierte Anwender richtet, wobei natürlich jeder willkommen ist, die Software zu nutzen und ein Teil der Gemeinschaft zu werden.

Debian Sid und Siduction sorgen für aktuellste Software

Nach einem eher ruhigen vergangenen Jahr stellt Siduction 2022.1 „Masters of War“ die erste Veröffentlichung seit Monaten dar. Mit dem Codenamen besinnt sich das Entwicklerteam auf frühere Namesgebungen der eigenen Veröffentlichungen: „Masters of War“ bezieht sich auf den 1963 veröffentlichten Song von Bob Dylan -- warum genau dieses Lied als Namespate gewählt wurde, erklärt sich angesichts der momentanen Weltlage wohl von selbst.

Die aktuelle Veröffentlichung kommt mit einigen interessanten Änderungen und neuen Funktionen daher. Unterstützend wirkt dabei auch das angenehme Artwork, das auf das kommende Debian „Bookworm“-Hintergrundbild anspielt und die bisherige visuelle Identität der Distribution wahrt.

Auch wenn Versionsveröffentlichungen bei rollenden GNU/Linux-Distributionen eine weniger zentrale Rolle einnehmen als bei ihren statisch herausgebrachten Kollegen, sind neue Hauptveröffentlichungen gerade bei Siduction sehr gern gesehen, erleichtern sie doch den Einstieg in die Distribution.

Neueinsteigern und interessierten älteren Hasen stehen dabei Installationsabbilder mit den grafischen Oberflächen KDE Plasma in der topaktuellen Version 5.26.4 (KDE Frameworks 5.101, KDE Gear 22.12), Xfce in der jüngst herausgekommenen Ausgabe 4.18 sowie mit der leichtgewichtigen Arbeitsumgebung LXQt in Version 1.2.0 bereit.

Wer es minimaler mag, kann auf die Xorg-Variante mit Calamares als grafischem Installationsprogramm oder die noch abgespecktere noX-Edition zurückgreifen. Letztere muss allerdings im Textmodus auf die Platte gebannt werden.

Im Gegensatz zum regulären Debian Sid (oder „unstable“) verwendet Siduction stets den aktuellsten Linux-Kernel mit eigenen Patches, hauptsächlich aus der Backstube des Kernel-Bäckers Torsten Wohlfarth. Ein besonderes Augenmerk wird bei den Siduction-Kerneln auf den Anwendungsbereich des Linux-Desktop gelegt. Zum Zeitpunkt der Veröffentlichung liefert Siduction 2022.1 Linux in Version 6.1 aus, wobei sich auch die regulären Debian-Kernel sowie ältere Veröffentlichungsstände installieren lassen.

Nützliches für den Hobby-Admin

Neben den Sprüngen in den Versionsständen bringt die neue Siduction-Ausgabe drei wesentliche neue Änderungen mit: Einerseits erleichtert der „Siduction chroot helper“ nun den eigentlich etwas umständlichen Prozess, von einem Live-Medium aus auf eine bereits bestehende Festplatteninstallation zu wechseln.

Konkret liefert Siduction hier einen Schnellstarter über den Schreibtisch der Live-Oberfläche aus; ein Nutzer kann einfach darauf klicken und wird nach einer Warnmeldung und einer kurzen grafischen Abfrage direkt in eine chroot-Umgebung weitergeleitet.

Das ist gerade bei einer rollenden Distribution ein wahrer Segen, immerhin lassen sich ein paar Probleme nur von außen Lösen, zum Beispiel, wenn es um das Init-System oder den Bootloader geht.

Des Weiteren integriert die neue Version die alternative Paketverwaltung „nala“ besser in das System. Diese wird in den Veröffentlichungshinweisen als „apt on steroids“ beschrieben und sei vor allem übersichtlicher aber auch schneller als das althergebrachte apt aus der Debian-Welt.

Die Befehle, mit denen man nala herumkommandiert, gleichen denen von apt sehr, wodurch sich das Werkzeug leicht als Ersatz nutzen lässt. In seiner standardmäßigen Konfiguration ist nala auf Sid ausgelegt, was Siduction sehr entgegenkommen dürfte.

Wer lieber auf die gewohnten Lösungen rund um apt setzt, kann das natürlich auch weiterhin tun. Für Einsteiger wurde ein Abschnitt zu nala im umfassenden Siduction-Handbuch hinzugefügt. Dieses führt Endanwender oftmals sehr ausgiebig in Siduction ein und hilft bei vielen Kleinigkeiten, insbesondere, was die fortlaufende Administration des eigenen Systems angeht.

Eine weitere Neuerung betrifft „Snapper“, das dem ein oder anderen vielleicht von openSUSE bekannt vorkommen könnte. Snapper erleichtert kurz zusammengefasst die Handhabung von btrfs-Snapshots, über die sich ein (rollendes) System problemlos auf einen früheren Zustand zurückfahren lässt. Voraussetzung dafür ist natürlich eine Installation, die das b-tree-Dateisystem (kurz btrfs) verwendet. Das lässt sich, gerade bei einer Installation auf der gesamten Festplatte, vergleichsweise einfach über den mitgelieferten Calamares-Installer einrichten.

„The community based OS“

Genauere Informationen zur aktuellen Veröffentlichung bieten die offiziellen Release Notes von Ferdinand Thommes (aka devil). Wer sich als Neueinsteiger für Siduction, das freundliche rollende Debian, interessiert, sollte einen Blick auf das Siduction-Handbuch werfen. Dieses steht in deutscher und englischer Sprache zur Verfügung.

Weitere Anlaufstellen bieten das Forum und die IRC- bzw. Matrix-Kanäle des Projekts. Dort ist nicht nur Platz für Hilfegesuche und Bitten; Anwenderinnen und Anwender können sich auch aktiv an der zukünftigen Entwicklung von Siduction beteiligen.

Die aktuelle Version kann von der offiziellen Webseite des Projekts heruntergeladen werden:
https://siduction.org/installation-media/

Quellen:

Offizielle Veröffentlichungshinweise für Siduction 2022.1:
https://siduction.org/2022/12/release-notes-fur-siduction-2022-1-masters-of-war/

Siduction-Handbuch:
https://manual.siduction.org/

Siduction-Forum:
https://forum.siduction.org/

Zur Siduction-Geschichte:
https://siduction.org/2011/08/warum-wir-aptosid-forken/

Bild:

Siduction Logo von Andreas Weber, Coruja via Wikimedia Commons; CC BY-SA:
https://commons.wikimedia.org/wiki/File:Siduction_Logo.svg

Moderne Touchpads und Touchscreens erkennen wenn mehere Finger auf das entsprechende Gerät gelegt werden. So ist es schon länger möglich mehr als nur die Maus von rechts nach links oder im Browser die Seite von oben nach unten zu schieben. Das nennt sich dann Gesten oder auf englisch Gestures oder ab 2 Fingern, eigentlich ab 3 gleichzeitig dann Multitouchgestures. Fenster mit einem Wisch minimieren, maximieren, schliessen, Vollbild, alle Fenster anzeigen usw usf.

 

Wer so ein Gerät, Notebook mit Touchpad, externes Touchpad oder einen Touchscreen hat, wil eigentlich von diesen Featuren profitieren, denn das reduziert den Wechsel zur Tastatur, oder das Rumgeschiebe mit der Maus oder sogar die Bewegung auf dem Touchpad/-screen selbst. Beispiele wie das aussieht sind auf der Projektseite zu sehen.

 

Vorweg sei gesagt, dass diese Lösung hier nicht mit dem neuen Displayserver Wayland getestet sind und dort vermutlich nicht laufen. Gedacht ist diese Lösung für den X11 Server (Standard). Ich habe sie unter Kubuntu 22.04 LTS erfolgreich eingerichtet, auch wenn die meisten Beschreibungen mit Ubuntu betitelt sind.
Für KDE gibt es eine weitere Konfiguration, die ich selbst aber nicht nutze.

 

Die Installation ist recht einfach.

Es muss ein Treiber “Touchégg” installiert werden. Ein 3 Zeiler, in dem erst das Software Repository hinzugefügt, dann die Quellen aktualisiert und schließlich die Anwendung installiert wird. Bitte zur Sicherheit der Installationsanweisung auf der Projektseite folgen. Diese Anweisungen stimmten zur Erstellungszeit des Artikels.

 

sudo add-apt-repository ppa:touchegg/stable
sudo apt update
sudo apt install touchegg

 

Für andere Linuxdistributionen sind die entsprechenden Aktionen ebenfalls auf der Projektseite aufgeführt.

 

Danach das graphische Konfigurationsprogramm “Touché” per Flathub mit dem Programm Discover installieren.

Der Systemdienst touchegg sollte gestartet werden. Wenn du nicht weisst, wie das geht, dann kannst du einfach deinen Computer neu starten. Oder du versuchst es auf der Konsole mit dem Befehl sudo systemctl start touchegg.service

Weitere Informationen

1. In Touché können Tastenkürzel angegeben werden. Dort kann man dann nach Herzenslust alle möglichen Tastenkürzel angeben, die auch in den Systemeinstellungen für diverse Aktionen hinterlegt sind, wie z.B. Strg+F10 um alle Fenster anzuzeigen.
2. Ich habe hier im Blog schon mal einen Artikel über das Thema Gesten geschrieben und wie ich das manueller direkt über libinput konfiguriert habe
3. Leider gibt es keine wirklich einfache bzw universelle Methode herauszufinden, wieviele Finger (touches) das Touchpad oder der Touchscreen unterstützt. Einige benutzen xinput (wie in meinem alten Blogartikel beschrieben), andere benutzen die geist-tools, die aber bei mir mit einem Pythonfehler den Dienst quittierten. Eine vielleicht noch hilfreiche Quelle mit Informationen ist das Archlinux Wiki
4. Ansonsten einfach ausprobieren. Mehr als dass es nicht funktioniert, kann eigentlich nicht passieren.